Menu
FAQ
GDPR
Wat is de GDPR?
‘GDPR’ staat voor de General Data Protection Regulation (of AVG voor Algemene Verordening Gegevensbescherming in het Nederlands). GDPR is de nieuwe reglementering op het gebied van gegevensbescherming en vervangt de vroegere teksten over dat onderwerp (de Richtlijn 95/46/EG en de Belgische privacywet van 8 december 1992).

GDPR trad in werking op 25 mei 2018. Hoewel de hoofdprincipes van de GDPR dezelfde zijn als die van de vorige wetgevingen, bevat de verordening ook bepaalde nieuwe regels (bijvoorbeeld op het vlak van de rechten die worden toegekend aan personen van wie de gegevens worden verwerkt en van de verplichtingen van ‘data processors’).
Wat heeft Securex gedaan om compliant te zijn met GDPR?
Securex heeft een actieplan uitgewerkt om te garanderen dat dat we de GDPR-richtlijn naleven bij alle aspecten van onze activiteiten en processen. Dat plan is intussen in voege maar nog niet helemaal af. Een afbeelding met de hoofdpijlers van dit actieplan (workstreams) is hier beschikbaar.
Voldoet Securex aan de GDPR-richtlijn?
Securex heeft een actieplan ingevoerd om ervoor te zorgen dat ze de GDPR naleeft in alle aspecten van haar activiteiten en processen.
Beschikt Securex over een GDPR-certificering?
Hoewel de Europese autoriteiten wensen dat op termijn GDPR-certificeringssystemen worden ontwikkeld, bestaan die momenteel nog niet. Securex volgt dit van nabij op. Op het gepaste tijdstip evalueren we of het wenselijk is om hierbij aan te sluiten. Op dit moment beschikt het Securex sociaal secretariaat over een ISAE 3402-certificering. In het kader hiervan evalueren we de naleving van GDPR. Ook de EDPBW (Externe Dienst voor Preventie en Bescherming op het Werk) beschikt over een ISO9001-certificering.
Beschikt Securex over een ‘Data Protection Officer’?
Ja. Eén van de nieuwe regels van de GDPR is dat in bepaalde gevallen aan ondernemingen de verplichting wordt opgelegd om een ‘Data Protection Officer’ (DPO) te benoemen. Bijvoorbeeld wanneer de basisactiviteiten van de betrokken onderneming bestaan uit verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen.

Dit is het geval voor Securex, die in zijn verschillende activiteiten een groot aantal persoonsgegevens verwerkt van werknemers, zelfstandigen of bedrijfsleiders (of van hun gezinnen voor wat het kinderbijslagfonds betreft).
Is Securex een "data controller" of een "data processor"?
Die vraag moet per activiteit worden beantwoord. Voor een groot aantal activiteiten is Securex ‘data processor’ (bv. loonadministratie) want ze verwerkt persoonsgegevens van werknemers op basis van instructies van werkgevers die zelf ‘data controllers’ zijn. Voor andere activiteiten is Securex een ‘data controller’ want we stellen zelf de doelstellingen en modaliteiten van de gegevensverwerking vast (bv. verzekeringen, enquêtes, ...) of de wet verleent ons die hoedanigheid (bv. medische controle, EDPBW).
Ben ik als werkgever ‘data controller’ van de verwerking van mijn HR-gegevens?
Algemeen gesteld is de werkgever/bent u voor de activiteiten van sociaal secretariaat de ‘data controller’ (want u geeft de nodige instructies voor het opstellen en versturen van de loonfiche) en is het sociaal secretariaat van Securex de ‘data processor’ (want Securex handelt op basis van uw instructies).

Ook als u een beroep doet op een HR-consultant van Securex bent u de ‘data controller’ voor de gegevens die deze consultant verwerkt en is Securex de ‘data processor’.

Wanneer u echter intekent op een verzekering van Securex (bv. arbeidsongevallenverzekering of verzekering gewaarborgd inkomen) is Securex ‘data controller’ van de gegevens die in uitvoering van dit verzekeringscontract worden verwerkt.

Zo is Securex voor de prestaties van preventieve geneeskunde (EDPBW) en controlegeneeskunde (MCM) ‘data controller’ van de gegevens met betrekking tot de gezondheid van de betrokken werknemers (omdat de arts onafhankelijk is ten opzichte van de werkgever).
Wat is een data breach?
‘Data breach’ (of inbreuk in verband met persoonsgegevens) is elke situatie waarin een inbreuk op de beveiliging (...) per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. 

‘Data breaches’ in de zin van GDPR zijn dus bij voorbeeld: inbraak in de server met raadpleging van de persoonsgegevens, per ongeluk vernietigen (buiten de IT-procedures die hiervoor werden opgesteld) van een harde schijf waarop zich persoonsgegevens bevinden, niet toegelaten bekendmaking van persoonsgegevens die op de infrastructuur van de Groep Securex werden verkregen.
Wat gebeurt er bij data breach?
In het geval dat Securex ‘data processor’ is (bijvoorbeeld voor het sociaal secretariaat), zullen we u zo snel mogelijk inlichten door middel van een specifiek formulier. Op dat formulier zal alle informatie zijn opgenomen waarmee u uw meldingsplicht aan de Gegevensbeschermingsautoriteit (afgekort GBA) kunt vervullen.

De ‘data controller’ (uzelf voor het sociaal secretariaat, Securex zelf voor andere opdrachten, zie hierboven) moet het bestaan van een ‘data breach’ in bepaalde omstandigheden melden aan de GBA.

Securex heeft een procedure en specifieke formulieren uitgewerkt om u binnen de opgelegde termijn de informatie mee te delen die u moet opnemen in uw melding aan de GBA (of om desgevallend onze eigen meldingsplicht aan de GBA te vervullen).
Welke veiligheidsmaatregelen past Securex toe om de verwerkte persoonsgegevens te beschermen?
Securex heeft organisatorische maatregelen (benoeming van een DPO, van een CISO, ...) en proceduremaatregelen (procedures, gedragslijnen, veiligheidshandleiding) uitgewerkt om de IT- en fysieke beveiliging van de persoonsgegevens die ze verwerkt te waarborgen.

Bovendien zijn bepaalde van zijn activiteiten gecertificeerd (het sociaal secretariaat beschikt over een ISAE 3402-certificering en de activiteit van EDPBW over een ISO9001-certificering).
Wat zijn als werkgever mijn verplichtingen in het kader van de GDPR?
  • Klik hier voor een reeks van artikelen op lex4you.be die handelen over uw verplichtingen als werkgever.
  • Voor een model van Privacy Policy of dataregister voor een HR-verwerking kunt u terecht in onze e-shop of uw Legal Advisor contacteren.
  • Wenst u een concreet advies en/of wilt u weten welke weerslag GDPR op uw HR-beleid heeft? Dan kunt u een betalend advies vragen en/of een GDPR-screening van uw volledige HR-beleid (betalend) vragen aan uw Legal Advisor.
  • Als u een opleiding over GDPR wilt volgen, raadpleeg dan onze opleidingsagenda.
Kunt u me een model van GDPR-register bezorgen voor mijn activiteiten?
Securex mag geen algemene consultancyopdrachten over GDPR uitoefenen. We kunnen u echter helpen met een dataregistermodel voor HR-verwerking van persoonsgegevens. U vindt in onze e-shop een modeldocument of kunt het aanvragen bij onze Legal Advisors.
Waar bevinden zich de gegevens van mijn werknemers die Securex verwerkt?
De servers van Securex (waarop zich bijvoorbeeld de gegevens van uw werknemers bevinden voor de dienstverlening van sociaal secretariaat) zijn in België gelegen.

Voor bepaalde specifieke diensten kunnen onderaannemers beperkt toegang hebben tot bepaalde persoonsgegevens. Volgens het beleid van Securex moet in dat geval worden geëist dat die onderaannemers die gegevens in de Europese Unie of onder adequate beschermingsvoorwaarden verwerken (bv. door een US-onderneming met ‘EU-US Privacy Shield’-certificering of waarmee ‘EU Model Clauses’ werden ondertekend).